引言：將終端服務(wù)主機直接連接到Internet上是比較危險的。而使用RD網(wǎng)關(guān)，不僅可以對連接者進行安全驗證，而且可以通過SSL協(xié)議對其進行加密傳輸。即使內(nèi)網(wǎng)中存在多臺終端服務(wù)器，也可以讓連接者順利對其進行訪問。

通常，只要黑客探測到了遠程桌面/終端服務(wù)器主機的IP，洞悉了賬戶名稱及密碼，就可以毫不費力的對其進行遠程控制。因此，將終端服務(wù)主機直接連接到Internet上是比較危險的。另外，如果局域網(wǎng)中存在多臺終端服務(wù)器，往往需要在防火墻上使用不同的端口將其發(fā)布到Internet上，給用戶的連接帶來了不便。

在Windows Server 2008中，雖然可以使用TS網(wǎng)關(guān)，來對連接的身份進行驗證，來保護內(nèi)網(wǎng)的終端服務(wù)器的安全。同Windows Server 2008 R2中的RD網(wǎng)關(guān)相比，其安全性較差。使用RD網(wǎng)關(guān)，不僅可以對連接者進行安全驗證，而且可以通過SSL協(xié)議對其進行加密傳輸。即使內(nèi)網(wǎng)中存在多臺終端服務(wù)器，也可以讓連接者順利對其進行訪問。

安裝RD網(wǎng)關(guān)服務(wù)器

為保證客戶端使用遠程桌面連接安全傳輸數(shù)據(jù)，必須在RD網(wǎng)關(guān)服務(wù)器上安裝SSL安全證書。為便于使用，應(yīng)先創(chuàng)建允許訪問終端服務(wù)的賬戶和組。

在Windows Server 2008 R2中打開服務(wù)器管理器窗口，運行“添加角色向?qū)А背绦?，在“選擇服務(wù)器角色”窗口中選擇“遠程桌面服務(wù)”，在“下一步”窗口中點擊“遠程桌面服務(wù)簡介信息”。點擊“下一步”，選擇“遠程桌面網(wǎng)關(guān)”項，在彈出的窗口中點擊“添加所需的角色服務(wù)”按鈕。在“下一步”窗口中選擇“為SSL加密選擇現(xiàn)有證書（推薦）”項，點擊“導(dǎo)入”按鈕導(dǎo)入已安裝的服務(wù)器身份驗證證書。在客戶端和遠程桌面通訊時可使用SSL協(xié)議加密通訊數(shù)據(jù)。

點擊“下一步”按鈕，選擇“現(xiàn)在”項，在“下一步”窗口中配置可以通過Rd網(wǎng)關(guān)的用戶組，默認包含Administrato rs組。點擊“添加”按鈕，將允許連接遠程桌面的用戶組添加進來。在“下一步”窗口中可以更改RD CAP名稱，選擇“密碼”項，作為身份驗證方式。點擊“下一步”按鈕，在“選擇角色服務(wù)”窗口中勾選“網(wǎng)絡(luò)策略服務(wù)器”項，之后系統(tǒng)會顯示需要安裝IIS中的相關(guān)服務(wù)，在“下一步”窗口中顯示所需安裝的相關(guān)服務(wù)項，點擊“安裝”，執(zhí)行安裝動作，在之后的安裝結(jié)果窗口中顯示所有的角色和服務(wù)安裝成功。

獲取數(shù)字證書

數(shù)字證書的獲得可以用多種方法實現(xiàn)。例如，可以使用自簽名證書功能。依次點擊“開始”、“所有程序”、“管理工具”、“遠程桌面服務(wù)”、“遠程桌面網(wǎng)關(guān)服務(wù)器”項，在打開窗口左側(cè)選擇本地服務(wù)器，在右側(cè)窗口中“操作”欄中點擊“屬性”項，在RD網(wǎng)關(guān)屬性窗口中的“SSL證書”面板中選擇“創(chuàng)建自簽名證書”項，點擊“創(chuàng)建并導(dǎo)入證書”按鈕輸入名稱。

勾選“存儲根證書”項，點擊“瀏覽”按鈕，選擇證書文件存儲位置。點擊“確定”按鈕，完成證書文件的創(chuàng)建操作。之后根據(jù)提示信息重啟RD網(wǎng)關(guān)服務(wù)器。重啟之后，在IE地址欄中輸入網(wǎng)關(guān)域名來查看該值證書是否已生效。在服務(wù)器管理器窗口左側(cè)依次選擇“遠程桌面服務(wù)”、“RD會話主機配置”項，在右側(cè)窗口中的“RDPTCP”項的右鍵菜單中選擇“屬性”項，在其屬性窗口的“常規(guī)”面板中的“證書”欄中點擊“選擇”按鈕，在證書列表中選擇上述證書項目，點擊“確定”完成操作，之后即可在遠程桌面環(huán)境中對RD網(wǎng)關(guān)服務(wù)器和客戶機之間的通訊進行加密，并且在遠程桌面RDP-TCP連接之間也啟用加密功能。

在Windows Server 2008 中可以創(chuàng)建證書服務(wù)器，可以滿足證書的發(fā)布、申請、安裝、創(chuàng)建等操作。Windows Server 2008支持應(yīng)用于企業(yè)內(nèi)部的證書服務(wù)器和用于Internet的獨立證書服務(wù)器，前者應(yīng)用于域環(huán)境，需要活動目錄的支持，用戶可以直接向證書服務(wù)器申請并安裝證書。后者應(yīng)用于非域環(huán)境，可以安裝到任何一臺獨立的服務(wù)器上，當(dāng)用戶向證書服務(wù)器申請證書時，必須經(jīng)由管理員檢查后辦法才可以頒發(fā)使用。在部署了證書服務(wù)器后，服務(wù)器的名稱和域名均不可更改，但是可以更改IP地址。

配置連接授權(quán)和資源授權(quán)策略

為保證遠程桌面連接的安全性，需要在安裝RD網(wǎng)關(guān)的主機上創(chuàng)建授權(quán)策略，其包括連接授權(quán)策略CAP和資源授權(quán)策略RAP兩部分。連接授權(quán)的策略的作用是檢查訪問者是否符合要求。只有符合要求的連接者才可以連接到RD網(wǎng)關(guān)。資源授權(quán)策略的用途是指定訪問者可以通過RD網(wǎng)關(guān)連接到的內(nèi)部的何種資源上。

在運行RD網(wǎng)關(guān)服務(wù)的主機上依次點擊“開始”、“管理工具”、“遠程桌面服務(wù)”、“遠程桌面網(wǎng)關(guān)”項，在RD網(wǎng)關(guān)管理器左側(cè)的“策略”項的右鍵菜單上點擊“創(chuàng)建授權(quán)策略”項，在彈出窗口中選擇“創(chuàng)建RD CAP和RD RAP”項，表示同時創(chuàng)建終端服務(wù)連接授權(quán)策略和管理終端服務(wù)資源授權(quán)策略。點擊“下一步”按鈕，輸入連接授權(quán)策略的名稱。在“下一步”窗口中選擇“密碼”項，表示使用密碼安全認證機制。在“用戶組成員身份”欄中點擊“添加組”按鈕，在彈出窗口中搜索并選擇所需的用戶組，將其導(dǎo)入。點擊“下一步”按鈕，選擇“啟用所有客戶端設(shè)備的設(shè)備重定向”項，可以將客戶端的磁盤、打印機等設(shè)備重定向到被控端。在“下一步”窗口中勾選“啟用空閑超時”項，可設(shè)置合適的時間值。這樣在遠程連接建立后，如空閑的時間超過該值，會自動斷開會話。勾選“啟用會話超時”項，設(shè)置合適的時間值。這樣，當(dāng)連接會話的時間到達該值后，可以采取另種處理方法，一種是斷開會話連接。一種是斷開連接后自動執(zhí)行驗證和重新授權(quán)。

依次點擊“下一步”按鈕，在創(chuàng)建RD RAP窗口中輸入資源授權(quán)策略名稱。在“下一步”窗口中添加和選擇對應(yīng)的用戶組，使其可以通過RD網(wǎng)關(guān)連接到目標內(nèi)網(wǎng)資源。點擊“下一步”按鈕，在選擇網(wǎng)絡(luò)資源窗口中選擇允許訪問的資源，可以選擇Active Directory域服務(wù)網(wǎng)絡(luò)資源組、RD網(wǎng)關(guān)服務(wù)器場成員列表等。這里選擇“允許用戶連接到任意網(wǎng)絡(luò)資源（計算機）”項，表示允許連接者訪問內(nèi)網(wǎng)中的所有主機。在“下一步”窗口中選擇允許的TCP端口，默認為TCP 3389端口。也可以選擇“允許通過以下端口連接”項，設(shè)置別的端口，讓連接者通過該端口遠程連接網(wǎng)絡(luò)資源。在“下一步”窗口中點擊“完成”按鈕，完成終端策略的創(chuàng)建操作。

開啟內(nèi)網(wǎng)主機遠程桌面/終端服務(wù)

在默認情況下，Windows服務(wù)器是禁止使用遠程桌面連接的，為此，可以在服務(wù)器管理器窗口中展開“服務(wù)器摘要”、“計算機信息”項，在其中點擊“配置遠程桌面”鏈接，在彈出窗口中的“遠程”面板中選擇“僅允許經(jīng)使用網(wǎng)絡(luò)級別身份驗證的遠程桌面的計算機連接（更安全）”項，在彈出的提示窗口中點擊“確定”按鈕，啟用遠程桌面的防火墻例外功能。點擊“選擇用戶”按鈕，在遠程桌面用戶窗口中顯示可以使用遠程桌面連接的賬戶，默認只域管理員賬戶。點擊“添加”按鈕，可以將所需的賬戶和組添加進來。

在客戶端配置安全證書

當(dāng)客戶端用戶想通過RD網(wǎng)關(guān)建立遠程桌面連接，必須通過身份驗證環(huán)節(jié)。在安裝RD網(wǎng)關(guān)服務(wù)時，已經(jīng)提前在服務(wù)器中申請了數(shù)字證書，只有將該證書安裝到客戶機上才可以在客戶端和RD網(wǎng)關(guān)服務(wù)器之間建立信任關(guān)系，讓客戶端可以通過RD網(wǎng)關(guān)的身份驗證操作。在客戶機上打開IE瀏覽器，在地址欄中輸入證書服務(wù)器的地址。在彈出的登錄窗口中輸入域用戶管理員名稱和密碼，點擊“確定”按鈕，在證書服務(wù)頁面中點擊“下載CA證書，證書鏈或CRL”鏈接，在彈出頁面中點擊“下載CA證書”鏈接，在文件下載窗口中點擊“保存”按鈕，將證書文件保存到本機中。在該證書文件的屬性窗口中點擊“安裝證書”按鈕，在證書導(dǎo)入向?qū)Ы缑嬷悬c擊“下一步”按鈕，在證書存儲窗口中點擊“瀏覽”按鈕，選擇“受信任的跟證書頒發(fā)機構(gòu)”項，在“下一步”窗口中點擊“完成”按鈕完成操作。

連接RD網(wǎng)關(guān)，控制內(nèi)網(wǎng)終端服務(wù)器

當(dāng)然，RD網(wǎng)關(guān)的應(yīng)用很廣泛，管理遠程桌面只是其功能之一。讓客戶端可以通過遠程桌面連接程序，經(jīng)由RD網(wǎng)關(guān)遠程管理服務(wù)器。運行“mstsc.exe”程序，在遠程桌面連接窗口中點擊“選項”按鈕，在“高級”面板中的“如果實際驗證不滿足最低策略要求”列表中選擇“向我發(fā)出警告”項。點擊“設(shè)置”按鈕，在設(shè)置界面中選擇“使用這些TS網(wǎng)關(guān)服務(wù)器設(shè)置”項，輸入RD網(wǎng)關(guān)服務(wù)器的域名，注意不是IP地址。否則的話將無法正常連接，系統(tǒng)會提示服務(wù)器地址與證書使用者名稱匹配等信息。這樣，客戶端主機必須可以正確解析該域名。

如果是局域網(wǎng)環(huán)境，可以直接執(zhí)行驗證操作。所以可以選擇“跳過本地地址的TS網(wǎng)關(guān)服務(wù)器”項，如果RD網(wǎng)關(guān)服務(wù)器與內(nèi)網(wǎng)中受保護的終端服務(wù)器的密碼相同，可以選中“將我的RD網(wǎng)關(guān)憑據(jù)用于遠程計算機”單選框，如果不同則無需選擇該項。保存設(shè)置后，在遠程桌面連接窗口中“常規(guī)”面板中輸入終端服務(wù)器的IP或者名稱，注意，RD網(wǎng)關(guān)服務(wù)器和終端服務(wù)器是有區(qū)別的，終端服務(wù)器可以隱藏在RD網(wǎng)關(guān)服務(wù)器的后面。RD網(wǎng)關(guān)服務(wù)器可以在Internet上擁有獨立的域名，而終端服務(wù)器只是內(nèi)網(wǎng)主機，只擁有內(nèi)網(wǎng)地址，RD網(wǎng)關(guān)服務(wù)器可以同時擁有外網(wǎng)和內(nèi)網(wǎng)地址。而且終端服務(wù)器可能有多臺，用戶只需更改連接的IP即可，而連接參數(shù)中的RD網(wǎng)關(guān)的域名是不能更改的。

例如RD網(wǎng)關(guān)域名為“rdp.fdckln.com”， 而內(nèi)網(wǎng)終端服務(wù)器的IP為“192.168.11.11”等。點擊“連接”按鈕后，在輸入用戶憑證窗口中輸入服務(wù)器上的對應(yīng)賬戶名和密碼，該賬戶必須在預(yù)設(shè)的允許連接遠程桌面的賬戶列表中。點擊“確定”按鈕，在“網(wǎng)關(guān)服務(wù)器憑據(jù)”窗口中輸入具有連接終端服務(wù)器的域用戶名和密碼，當(dāng)通過RD網(wǎng)關(guān)的身份認證后，就可以安全的連接到服務(wù)器的遠程桌面環(huán)境中，對其進行遠程控制。

使用Web方式，控制內(nèi)網(wǎng)服務(wù)器

除了使用常規(guī)的連接程序外，還可以使用IE瀏覽器操控終端服務(wù)。當(dāng)然，前提是必須在RD服務(wù)器上需要安裝遠程桌面Web訪問組件，并且在客戶端配置和RD網(wǎng)關(guān)安全通訊的證書文件。在IE中輸入終端服務(wù)器網(wǎng)址。如果在RD網(wǎng)關(guān)服務(wù)器的Web訪問站點激活了Windows身份驗證功能，就會顯示認證窗口，輸入擁有允許訪問RD網(wǎng)關(guān)服務(wù)器的賬戶名和密碼，通過認證后，在遠程桌面服務(wù)默認連接頁面頂部點擊“運行ActiveX空間”提示欄，安裝所需的ActiveX組件。

在“域/用戶名”欄中輸入允許連接到RD網(wǎng)關(guān)的賬戶名，在“密碼”欄中輸入其密碼。該賬戶必須預(yù)先在RD授權(quán)策略中配置。點擊“登錄”按鈕，連接到RD網(wǎng)關(guān)服務(wù)器，當(dāng)連接成功后，點擊“遠程桌面”鏈接，在“連接選項”欄中輸入終端服務(wù)器的內(nèi)網(wǎng)IP地址，設(shè)置遠程桌面尺寸。在“設(shè)備和資源”欄中選擇需要重定向的設(shè)備。點擊“連接”按鈕，在彈出窗口中勾選“剪切板”和“打印機”項，可以讓遠程主機使用客戶機的剪切板和打印機資源。點擊“連接”按鈕，在輸入憑據(jù)窗口中輸入允許登錄終端服務(wù)器的賬戶名和密碼，點擊“確定”按鈕進入遠程桌面使用環(huán)境，可對遠程主機進行各種控制操作。

對RD網(wǎng)關(guān)進行管理和監(jiān)控

當(dāng)客戶端通過RD網(wǎng)關(guān)連接到被控機后，在RD網(wǎng)關(guān)服務(wù)器上可以對其活動進行全面監(jiān)控。在RD網(wǎng)關(guān)管理器窗口左側(cè)選擇“監(jiān)視”項，在右側(cè)窗口顯示正在進行的所有連接項目，包括連接的ID、用戶ID、用戶名等信息。對于可疑的連接項目，可以在其右鍵菜單上點擊“斷開此用戶的連接”項，可以斷開該用戶的所有連接。如果點擊“斷開此鏈接”項，僅僅斷開選定的連接。